报告编号：2021-dc-24 洞察系列报告 研判系列报告 m o c . 5 网络安全威胁情报行业发展报告 （2021 年） b u h t i g 国家工业信息安全发展研究中心 北京微步在线科技有限公司 2021 年 12 月 h t i g b u m o c . 5 网络安全威胁情报行业发展报告（2021 年） “工信安全智库”系列报告编委会 主 任：赵 岩 蒋 成 员：黄 鹏 高晓雨 申 熊华俊 孙倩文 殷利梅 闫 郑 于金平 寒 艳 磊 畯 m o c . 5 赵铭晨 b u h t i g 编写组 撰 稿：陈羽凡 叶晓亮 李晓婷 审 稿：孙倩文 王花蕾 胡思洋 王丁冉 网络安全威胁情报行业发展报告（2021 年） 序 国家工业信息安全发展研究中心经过 60 余年的发展与积淀，在 智库研究方面形成了丰硕的积累。2018 年 9 月，中心推出“工信安 全智库”品牌，立足深化供给侧结构性改革和加快建设创新型国家 战略需求，围绕制造强国和网络强国建设任务，聚焦网络安全、数 字经济、信息技术产业、战略前沿等重点领域，开展基础性、战略 m o c . 5 性、先导性智库研究，为工业和信息化部、中央网信办、国家发展 改革委等提供智力支持。 “工信安全智库”自 2019 年开始陆续推出“研判”“洞察”“瞭 望”“指数”“案例”“编译”等系列研究报告，围绕党和政府决 b u 策急需的相关重大课题和关键问题，开展形势研判、专题调研、国 h t i g 际跟踪、景气测度、案例分析、报告翻译等方面的持续研究，为主 管部门预见走势、把握机遇、应对挑战、谋划战略提供参考。 本次推出的洞察报告《网络安全威胁情报行业发展报告（2021 年）报告》对网络安全威胁情报相关概念进行系统梳理，对国内外 网络安全威胁情报发展情况进行总结分析，结合对我国网络安全威 胁情报产业发展现状的调研，提出威胁情报服务能力评价框架，并 就未来发展趋势及建议展开探讨，旨在为更好发挥威胁情报价值、 促进威胁情报落地应用、推动威胁情报产业发展提供参考。 本报告得到北京微步在线科技有限公司的大力支持，产业调研 还得到 360 政企安全集团、奇安信科技集团股份有限公司、绿盟科 技集团股份有限公司、杭州安恒信息技术股份有限公司等企业的支 网络安全威胁情报行业发展报告（2021 年） 持，在此一并感谢。 由于成稿仓促，加之水平有限，报告中难免有疏漏和错误之处， 恳请批评指正。 编写组 2021 年 12 月 h t i g b u m o c . 5 网络安全威胁情报行业发展报告（2021 年） 摘 要 随着网络威胁的数量和复杂性不断增长，构建基于威胁情报的 网络安全主动防御体系势在必行。2014 年起，威胁情报逐渐成为网 络安全的热点领域之一，2018 年更是出现爆发性增长。各国政府、 企业对威胁情报的重视程度不断提高，各类产业主体积极围绕威胁 情报技术及商业模式开展探索，同时大力推动威胁情报标准化和共 m o c . 5 享机制的建立。威胁情报于 2015 年前后正式进入我国市场，威胁情 报的价值在近几年的发展过程中逐渐被接受和认可，各行各业对威 胁情报的需求也不断增长，据估计 2021 年我国威胁情报市场规模约 在 10.69 亿元左右。 b u 报告在产业深度调研的基础上提出威胁情报服务能力评价框架， h t i g 为更加科学全面评价地评价供应商能力提供参考。该框架面向威胁 情报供应商能力成熟度和市场发展潜力两方面目标，围绕情报数据、 业务流程、产品服务、企业竞争力等四个基本维度，对供应商威胁 情报服务能力的评价。针对典型网络安全威胁情报供应商的能力评 价及优势分析随文附后。 为更好发挥威胁情报赋能作用，应进一步夯实威胁情报对网络 安全发展的基础支撑作用，促进威胁情报开发利用以覆盖多元化情 报需求，加快标准化建设以实现更大范围情报共享，以更加广阔的 威胁情报视野驱动各类网络安全技术、服务、产业协同，实现推进 网络安全产业高质量发展的目标。 网络安全威胁情报行业发展报告（2021 年） 目 录 一、威胁情报概述............................................................................................ 1 （一）威胁情报的定义 ............................................................................... 1 （二）威胁情报的分类 ............................................................................... 2 （三）威胁情报的作用 ............................................................................... 4 二、国外威胁情报发展现状分析 ................................................................... 5 m o c . 5 （一）威胁情报国家和战略层面重视程度不断提高 ............................... 6 （二）威胁情报描述、交换和共享等环节标准逐渐完善 ....................... 7 （三）威胁情报自身多环节以及与多业务逐步融合 ............................... 8 b u 三、我国威胁情报产业调研分析 ................................................................. 10 h t i g （一）我国威胁情报行业正处于初级发展阶段 ..................................... 10 （二）网络安全企业积极推动威胁情报产品化 ..................................... 12 （三）行业企业需求主要集中于威胁情报订阅 ..................................... 14 四、威胁情报服务能力框架 ......................................................................... 16 （一）情报数据 ......................................................................................... 16 （二）业务流程 ......................................................................................... 17 （三）产品服务 ......................................................................................... 19 （四）企业竞争力 ..................................................................................... 20 五、威胁情报行业发展趋势及建议 ............................................................. 20 （一）结合知识图谱技术，推动威胁情报开发利用 ............................. 21 网络安全威胁情报行业发展报告（2021 年） （二）威胁情报需求分化，分层发展趋势初显 ..................................... 22 （三）加快标准化建设，促进威胁情报共享融合 ................................. 23 （四）夯实威胁情报基础，赋能安全协同生态建设 ............................. 25 附录：典型网络安全威胁情报供应商的能力评价及优势分析 ................. 27 参考文献.......................................................................................................... 36 h t i g b u m o c . 5 网络安全威胁情报行业发展报告（2021 年） 随着网络环境日益复杂化，网络攻击行为趋于产业化，攻击手 段也愈发多样化，根据经验构建防御策略、部署产品的传统方式在 面对层出不穷的新型、持续性、高级威胁时，难以及时有效的检测、 拦截、分析和响应。在此背景下，网络安全威胁情报应运而生。作 为一种重要的网络安全基础知识，可支撑构建更加主动的网络安全 防御模式，基于全方位的情报感知、多维度的融合分析，研判网络 m o c . 5 安全整体态势并合理预判威胁动向，实现动态精准的网络安全威胁 应对。 一、威胁情报概述 情报(Intelligence)一词，源于军事领域，指“获得的他方有关情 b u 况以及对其分析研究的成果”，多带机密性质，目前在不同的领域 h t i g 内均有应用。以威胁情报为中心的信息安全保障框架对于生活和生 产关键基础设施的稳定运行、军事作战指挥能力保障及国际社会的 和平稳定具有重大意义，它受到了来自各国政府、学术界以及全球 大型互联网企业的高度重视。 （一）威胁情报的定义 2013 年，Gartner 首次提出关于威胁情报的定义：威胁情报是关 于现有或即将出现的针对资产有威胁的知识，包括场景、机制、指 标、启示和可操作建议等，且这些知识可为主体提供威胁的应对策 略。简单来讲，威胁情报就是通过各种来源获取环境所面临的威胁 的相关知识，主要描述现存的、即将出现的针对资产的威胁或危险。 Forrester 认为威胁情报是内部和外部威胁参与者动机、意图和能力的 1 网络安全威胁情报行业发展报告（2021 年） 详细信息。威胁情报包含这些攻击者的战术、技术手段和攻击过程 的详细信息。2014 年，SANS 提出威胁情报是收集、评估和应用的 关于安全威胁、恶意行为者、漏洞利用、恶意软件、漏洞